密碼安全性基礎
在數位時代,密碼是保護個人資料的第一道防線。了解密碼強度的計算方式,能幫助你建立真正安全的密碼策略。
密碼強度的科學計算
資訊熵(Entropy)
密碼強度的核心指標是資訊熵,計算公式為:
熵 = log₂(字元集大小) × 密碼長度
例如:一個 12 字元的密碼,使用大小寫字母+數字+符號(94 種字元):
- 熵 = log₂(94) × 12 ≈ 78.7 bits
強度分級
| 熵值 (bits) | 強度 | 說明 |
|---|---|---|
| < 28 | 極弱 | 幾秒內可破解 |
| 28-35 | 弱 | 數分鐘至數小時 |
| 36-59 | 中等 | 數天至數年 |
| 60-79 | 強 | 數百年以上 |
| 80+ | 極強 | 實際上不可能暴力破解 |
暴力破解的現實
攻擊速度
現代 GPU 的密碼猜測速度驚人:
- 一般電腦 CPU:每秒約 1,000 萬次
- 高階 GPU:每秒約 100 億次
- 專業破解叢集:每秒約 1 兆次
不同密碼的破解時間
以 GPU 每秒 100 億次猜測計算:
| 密碼類型 | 8 字元 | 12 字元 | 16 字元 |
|---|---|---|---|
| 純數字 | 0.01 秒 | 1.7 分鐘 | 11.6 天 |
| 小寫字母 | 3.5 分鐘 | 6.5 年 | 1,180 萬年 |
| 大小寫+數字 | 3.5 小時 | 2,053 年 | 71 億年 |
| 全字元集 | 1.1 天 | 18,532 年 | 308 兆年 |
密碼策略建議
密碼短語法(Passphrase)
現代資安專家推薦使用密碼短語,而非傳統的複雜密碼:
傳統複雜密碼:P@ssw0rd! — 看似複雜但只有 9 字元,且已被收錄在常見密碼字典中
密碼短語:correct horse battery staple — 25 字元,容易記憶,熵值極高
密碼管理最佳實踐
- 使用密碼管理器:Bitwarden(免費開源)、1Password
- 每個網站不同密碼:避免一個被破就全部外洩
- 啟用雙重驗證(2FA):即使密碼外洩也有第二道防護
- 定期檢查外洩:使用 Have I Been Pwned 查詢
台灣常見的密碼錯誤
避免使用以下作為密碼:
- 身分證字號(A123456789)
- 生日(19900101)
- 手機號碼(0912345678)
- 注音密碼(ji32k7au4a83 = 我的密碼,已被破解字典收錄)
- 常見弱密碼(123456、password、qwerty)
本計算機假設密碼為完全隨機產生。實際密碼如果使用字典單字、個人資訊或常見模式,安全性會遠低於熵值預估。建議使用密碼管理器產生和儲存密碼。